红队笔记之CobaltStrike4.4源码修改方法

最新推荐文章于 2024-05-27 10:03:47 发布
最新推荐文章于 2024-05-27 10:03:47 发布
阅读量7.5k 收藏 12
点赞数 1
分类专栏: 红队笔记 文章标签: java jar 安全 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/corenote/article/details/121711923
版权

在这里插入图片描述

文章目录

本文将介绍笔者对于CobaltStrike4.4几种反编译方法的思考以及具体修改方法,修改CobaltStrike主要为了修改和隐藏CobaltStrike4.4的特征,防止在攻防过程中被限制防火墙等他设备拦截

CobaltStrike4.4反编译的几个思路

方法一:利用动态编程完成源码的修改

可选工具:

ASM :直接操作字节码指令,执行效率高,要是使用者掌握Java类字节码文件格式及指令,对使用者的要求比较高。

Javassit 提供了更高级的API,执行效率相对较差,但无需掌握字节码指令的知识,对使用者要求较低。

优缺点分析:有关动态编程的知识在平时的应用层使用不是特别多,多是用在构建框架,虽然可以完成修改与编译但是成本较高不利操作

方法二:借助反编译工具先反编译再进行编译

可用工具:

java-decompiler/fernflower:java-decompiler.jar基于fernflower修改完成,效果与fernflower基本类似,所以选其一即可

jd-gui:比较小巧的反编译工具,有图像化界面,阅读代码比较方法

XJad ,Luyten等等,java反编译的工具多数基于Java Decompiler项目所以效果基本类似

优缺点分析:操作比较简单粗暴,可以较快的逆向出源码,但是对于大型项目来讲,逆向后源码大量报错,较难编译成功,比较浪费时间

方法三:借助原有jar与反编译源码修改并编译代码

此方法属于方法二的升级版本,利用已有源码以及已有jar文件,完美魔改jar文件

优缺点分析:不用修复逆向源码的大量报错(错误理解或注释掉原有报错代码可能会为工具引入bug),改哪覆盖哪,具体操作方法见下节

CobaltStrike4.4源码修改方法

步骤简介

1、利用反编译工具逆向出源码

2、新建工程引入逆向源码与原有jar包

引入逆向源码是为了方便查看与复制代码,非必要步骤

3、修改源码并重新打包

具体步骤

利用反编译工具逆向出源码

1、下载逆向工具JD-GUI,并打开

JD-GUI为Java应用,需要有Java环境才能运行,Java环境不在此赘述,笔者判断CobaltStrike4.4为11编译,所以jdk尽量安装11以上版本避免不必要的麻烦。
在这里插入图片描述
2、将cobaltstrike.jar拖入JD-GUI

image-20211116173305899

3、导出源码

image-20211116173634885

备注:导出前建议按如下配置进行配置,不然导出内容源码会存在行号以及元数据

【help】–>【preference】

image-20211116204025675

4、将导出的源码压缩包解压

image-20211116174142072

截止次步骤我们已通过利用反编译工具逆向出源码,并存储在cobaltstrike文件夹中

新建工程引入逆向源码与原有jar包

1、打开IntelliJ IDEA并新建项目

image-20211116175226709

image-20211116175435311

2、将源码粘贴到MyCobaltStrike目录下

建议不要在idea界面导入,文件较多会比较卡,头铁的老板随意

image-20211116175908869

3、在MyCobaltStrike目录下新建lib目录并将cobaltstrike扔进去

image-20211116180206527

4、为MyCobaltStrike项目导入cobaltstrike.jar

【文件】–>【项目结构】–>【库】–>【新建项目库】–>【选择lib目录下的cobaltstrike.jar】–>【确定】

image-20211116201129026

修改源码并重新打包

1、将要修改的源码连同其对应的路径,一起复制到MyCobaltStrike的src下,如我们计划修改aggressor下的Aggressor.java(入口类导出时必须包含)

入口类:为整个程序的主类,是整个程序开始运行的地方,可以通过MANIFEST.MF文件中的Main-Class了解

image-20211116210425924

2、导出修改后的jar包

【文件】–>【项目结构】–>【工件】–>【+】–>【JAR】–>【来自具有依赖项的模块】–>【从模块创建JAR】–>【选择主类】–>【JAR】–>【来自具有依赖项的模块】–>【选择主类Aggressor】–>【确认】

设置工件

3、构建工件

【构建】–>【构建工件】

构建工件

4、至此代码修改完成,我们将修改后jar拉入JD-GUI看下效果

image-20211117094954763

为了您和您家人的幸福,请不要利用文中技术在用户未授权情况下开展渗透测试!!!

《中华人民共和国刑法》

第二百八十五条
违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。
第二百八十六条
违反国家规定,对计算机信息系统功能进行删除、修改、增加、干扰,造成计算机信息系统不能正常运行,后果严重的,处五年以下有期徒刑或者拘役;后果特别严重的,处五年以上有期徒刑。

违反国家规定,对计算机信息系统中存储、处理或者传输的数据和应用程序进行删除、修改、增加的操作,后果严重的,依照前款的规定处罚。
故意制作、传播计算机病毒等破坏程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚

方寸明光
关注
  • 1
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
二次开发环境_CobaltStrike二次开发环境初探
weixin_30717229的博客
12-14 1320
这是酒仙桥六号部队的第124篇文章。全文共计2938个字,预计阅读时长9分钟。在我们使用cobaltstrike的过程中,会涉及到二次开发,从而使其功能上更加的健壮,不至于碰到杀软就软了的地步,本文从cobaltstrike的快速反编译到二次开发环境的准备作为二次开发cobaltstrike的起步。IntelliJ IDEA自带了一个反编译java的工具,有时候我们需要对coba...
Cobalt Strike(CS)流量分析
小千安全
04-21 6948
为了识别 Cobalt Strike 生成的 HTTPS 流量,可以收集不同 TLS 实现的 JA3S 值,构建 JA3S 签名库,并结合其他特征和行为进行综合分析和判断。同时,反编译CS的源代码也可以得知,92L对应于x86位的木马,而93L对应于x64位的后门。在 HTTPS 协议的 Client Hello 和 Server Hello 阶段,都包含了 JA3S 值传输过程过程中会有 ja3,这个值在系统上是固定的,win10是一种的 但win11是另一种 他们取决于操作系统。
有了这个网络安全面试题,面试就像开了挂!(附PDF)
lvaolan的博客
02-26 635
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!​​​​内容实在太多,不一一截图了。
CobaltStrike二次开发环境准备以及免杀
r250414958的博客
05-08 7057
文章目录前言一、环境二、过程1.注册Idea2.原版CobaltStrike3.开始反编译4.新建项目5.配置项目6.去除暗桩7.免杀CobaltStrike免杀其他免杀profile file重写Stager和Beacon参考总结 前言 原版的CobaltStrike已经被各大杀毒软件给标记了,就算变换profile,stage和beacon也存在着许多特征,所以只能想办法来隐藏和去除,二次编译CobaltStrike就是一个很好的办法。 一、环境 win7_x64 jdk-11.0.14 Idea.2
推荐开源项目:Cobalt Strike 社区工具包
最新发布
gitblog_00046的博客
05-27 302
推荐开源项目:Cobalt Strike 社区工具包 项目地址:https://gitcode.com/Cobalt-Strike/community_kit 1. 项目介绍 Cobalt Strike 社区工具包是一个集合了用户社区贡献的扩展和定制工具的中央仓库。这个框架围绕着Cobalt Strike——一个强大的后渗透利用平台进行构建。通过这个项目,你可以轻松获取并集成各种扩展,进一步提升C...
Kali下Cobalt Strike4.4的安装
dzqxwzoe的博客
02-26 1558
(一)Clbalt Strike特点1、认识CS2、生成PayLoad3、部署模块(二)Clbalt Strike4.4安装与环境配置(kali)环境准备:2.1 其他linux系统安装jdk1 升级APT2 使用APT安装OpenJDK 11:3 将OpenJDK 11设置为默认 Java程序2.2 开始安装1、点击这个选择解压路径2、点击解压按钮3、创建新的解压文件名4、完成解压5、启动服务器赋777权限。
Cobalt Strike
szgyunyun的博客
07-25 1186
Strategic Cyber 责任有限公司发行了适用于 Windows、Linux 和 MacOS X 的 Cobalt Strike 软件包。 要安装 Cobalt Strike,只需将其存档解压到你的操作系统上。 系统要求 Cobalt Strike 要求 Oracle Java 1.8,Oracle Java 11, 或 OpenJDK 11。 如果你的系统上装有防病毒产品,请确保在安装 Cobalt Strike 前将其禁用。 Cobalt Strike 发行套件包含 Cobalt Strike
CobaltStrike4.4.zip
09-15
在这个"CobaltStrike4.4.zip"压缩包中,包含了多个与Cobalt Strike 4.4版本相关的文件,它们在网络安全测试和防御演练中扮演着重要角色。 首先,`agscript`可能是指Cobalt Strike的Aggressor Script,这是一种...
CobaltStrike V4.zip
03-20
- `cobaltstrike.auth`:这可能是Cobalt Strike的授权文件,用于验证软件的合法使用。 - `cobaltstrike.bat`:这是一个批处理文件,可能用于启动或配置Cobalt Strike环境。 - `teamserver.cmd`:团队服务器命令,...
cobaltstrike中文版.zip
05-17
这个“cobaltstrike中文版.zip”文件包含了Cobalt Strike的中文版本,这对于中文使用者来说是一个很好的资源,能够帮助他们更好地理解和操作这款工具。 Cobalt Strike的核心功能包括: 1. **Beacon**:这是Cobalt ...
Cobaltstrike来源:Cobaltstrike4.1来源
03-04
钴打击源 Cobaltstrike4.1来源这是反编译后的Cobaltstrike4.1源码修改了一点反编译后的bug,teamserver与agressor均能正常调试使用,若想自己修改调试那个文件只需把该文件复制到src下即可。 这是魔改Cobaltstrike4.1系列的帖子,若有错误请指出,谢谢:
cobaltstrike_bofs:我的CobaltStrike BOFS
03-12
QueueUserAPC_PPID queueuserapc_ppid / BOF在指定的父对象下生成您选择的进程,并通过QueueUserAPC()注入提供的shellcode文件
CobaltStrikeScan:扫描文件或进程内存以查找CobaltStrike信标并解析其配置
03-30
钴弹扫描 扫描文件或处理内存以查找Cobalt Strike信标,并解析其配置。 CobaltStrikeScan扫描Windows进程内存以查找DLL注入(经典或反射注入)的证据,并在目标进程的内存上执行YARA扫描以获取Cobalt Strike v3和v4信标签名。 另外,CobaltStrikeScan可以对绝对路径或相对路径提供的文件执行相同的YARA扫描,作为命令行参数。 如果在文件或进程中检测到Cobalt Strike信标,则将解析该信标的配置并将其显示在控制台中。 克隆此仓库 CobaltStrikeScan包含作为子模块。 确保在克隆CobaltStrikeScan时使用git clone --recursive https://github.com/Apr4h/CobaltStrikeScan.git ,以便也下载/克隆子模块的代码。 建立解决方案 Costur
Cobalt Strike 4.0 dist_Strike!_Cobalt_cobaltstrike_
10-02
cobalt strike distribution package 4.0
cobaltstrike服务器管理工具
04-15
"cobaltstrike-win.zip"包含了Windows版本的工具,适用于Windows环境下的服务器管理和渗透测试。而"cobaltstrike-linux.zip"则为Linux用户提供服务,确保了跨平台的灵活性和兼容性。 在渗透测试方面,Cobalt Strike...
Cobalt-Strike-4.7
12-27
Cobalt Strike 是一款使用java编写,C / S架构的商业渗透软件,适合多人进行团队协作,可模拟APT做模拟对抗,进行内网渗透,是一个为对手模拟和红队行动而设计的平台,主要用于执行有目标的攻击和模拟高级威胁者的后...
Java环境变量配置cobalt strick4.4启动
weixin_43167326的博客
04-26 1220
2.首先安装好java17配置环境变量 2.Path这里添加%JAVA_HOME% 3.输入这两条命令配置出现参数表示成功 4.在CS4.4当前目录启动Cmd,后门两个参数是主机ip和密码 启动成功
浅谈搭建CobaltStrike云服务器可能会遇到的一些问题
xf555er的博客
08-21 553
若要将本机的文件上传至云服务器,你需通过Xshell来实现先在xshell连接云服务器,命令行中执行rz命令,即可实现文件上传若没有rz。
工具开发|CobaltStrike插件编写入门(三)
weixin_42282189的博客
12-09 1326
作者: 飞天魔鬼 免责声明:本文仅供学习研究,严禁从事非法活动,任何后果由使用者本人负责。 引言 之前发了两篇关于cs插件编写的基础文章,写的是杀软判断的功能,用到的都是sleep脚本基础语法,这次想写一篇关于sleep脚本的高级用法的文章,那就是使用sleep脚本调用java对象。 本篇主要用sleep脚本调用java对象来实现一个powershell_encoder的功能。 项目源码:https://github.com/gooderbrother/Sleep_powershell_encoder .
cobalt strike4.4
11-08
Cobalt Strike 4.4是一款专业的渗透测试工具,由Strategic Cyber LLC开发。它广泛被安全研究人员、红队渗透测试人员使用,以评估网络安全的弱点和漏洞。 Cobalt Strike 4.4提供了各种功能和技术,包括钓鱼攻击、漏洞利用、社会工程学攻击和内网渗透等。它模拟了真实的攻击场景,能够帮助安全专家发现和修复网络中的安全问题。 其中,钓鱼攻击是Cobalt Strike 4.4的一个重要特性。它通过伪造电子邮件、网站和文件,诱使用户输入敏感信息,例如用户名、密码和信用卡信息。这可用于测试员评估目标组织员工的安全意识和行为。 Cobalt Strike 4.4还支持漏洞利用,用于发现和利用系统和应用程序的漏洞。这些漏洞可能导致入侵者获取未授权的访问权限,从而进一步探索和操纵目标网络。 社会工程学攻击是利用人的弱点和错误来获得机密信息的手段。Cobalt Strike 4.4中的社会工程学攻击模块可通过发送钓鱼电子邮件、制造假网站和执行欺骗性操作,诱使目标用户泄露敏感信息。 内网渗透是Cobalt Strike 4.4的另一个重要功能。它模拟渗透攻击者在目标网络中的行为,尝试获取横向权限并访问受限资源。通过内网渗透,渗透测试人员可以评估网络安全的脆弱点,并提出相应的解决方案来提高网络的防御能力。 总之,Cobalt Strike 4.4是一款功能强大的渗透测试工具,具有广泛的应用领域。它通过模拟攻击场景,帮助安全专家评估和提高网络安全性,保护组织免受潜在的网络攻击。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

方寸明光

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值